Sự việc một công ty chứng khoán – CTCK bị tấn công mạng (VNDirect) vào ngày 24/3/2024 và kéo dài hơn 01 tuần đã tạo không ít hoang mang và lo sợ cho nhà đầu tư. Bởi rằng, tài khoản chứng khoán không chỉ là công cụ để thực hiện các giao dịch mua bán chứng khoán trên thị trường chứng khoán. Đây còn là nơi nhà đầu tư cất giữ tiền, cổ phiếu, các chứng khoán khác. Vậy khi hệ thống CTCK bị tấn công mạng và gây ra thiệt hại thì ai sẽ là người chịu trách nhiệm pháp lý ?
Trách nhiệm của CTCK khi cung cấp dịch vụ giao dịch chứng khoán trực tuyến
- Đảm bảo giao dịch liên tục, thông suốt;
- Đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống;
- Có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố;
- Có sự tách biệt với các hệ thống thông tin điện tử khác của công ty;
- Ban hành quy trình về việc vận hành, quản lý, sử dụng hệ thống giao dịch chứng khoán trực tuyến.
- ký hợp đồng hoặc phụ lục kèm theo hợp đồng mở tài khoản, bao gồm các nội dung sau: Công bố các rủi ro có thể xảy ra khi giao dịch chứng khoán trực tuyến; Quy định trách nhiệm về việc bảo mật thông tin.
Ngoài ra, trong hoạt động của mình, CTCK phải xây dựng kế hoạch dự phòng cho các tình huống khẩn cấp xảy ra nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của công ty.
Trách nhiệm thuộc về ai khi CTCK bị tấn công mạng?
Đối chiếu với các quy định trên, khi xảy ra sự cố bị tấn công mạng thì cần xem xét hai trường hợp sau:
Trường hợp 1: Tấn công mạng xảy ra do CTCK không đảm bảo các quy định trong hoạt động cung cấp dịch vụ
Nếu CTCK không đảm bảo tuân thủ theo các quy định pháp luật có liên quan trong hoạt động cung cấp dịch vụ của mình, khi xảy ra tấn công mạng và gây thiệt hại thực tế và trực tiếp cho khách hàng thì CTCK là chủ thể có trách nhiệm bồi thường toàn bộ thiệt hại xảy ra. Mức bồi thường thiệt hại sẽ căn cứ theo quy định tại các thỏa thuận/Hợp đồng giữa CTCK và khách hàng; hoặc được căn cứ theo quy định pháp luật.
Ngoài trách nhiệm bồi thường thiệt hại nêu trên, CTCK còn chịu trách nhiệm pháp lý trước cơ quan có thẩm quyền và có thể bị xử phạt hành chính do không thực hiện xây dựng công nghệ thông tin, cơ sở dữ liệu dự phòng để bảo đảm hoạt động an toàn và liên tục của hệ thống.
Trường hợp 2: Tấn công mạng xảy ra do sự kiện bất khả kháng
Nếu CTCK đã tuân thủ theo các quy định pháp luật liên quan và việc tấn công mạng đáp ứng các điều kiện bất khả kháng (sự kiện xảy ra một cách khách quan không thể lường trước được và không thể khắc phục được mặc dù đã áp dụng mọi biện pháp cần thiết và khả năng cho phép) thì CTCK sẽ không phải chịu trách nhiệm pháp lý theo quy định.
Tuy nhiên, trên thực tế, để thiện chí hỗ trợ khách hàng thì khi xảy ra tấn công mạng, bất kể là sự kiện bất khả kháng hay không, thì CTCK đều sẽ có chính sách hỗ trợ nhằm xoa dịu phần nào tâm lý bất an và sự đồng hành của nhà đầu tư khi xảy ra sự cố không mong muốn như vậy. Chẳng hạn như VNDirect sau khi trải qua sự cố tấn công mạng, đã đưa ra nhiều chương trình, chính sách ưu đãi như: Miễn phí giao dịch chứng khoán cơ sở; Miễn phí toàn bộ lãi suất cho vay giao dịch ký quỹ, Miễn lãi nợ thấu chi và phí quản lý vị thế qua đêm…..để mong bù đắp phần nào tổn thất đã xảy ra cho Khách hàng.
Tham khảo các quy định pháp luật tại: Thư viện pháp luật
Xem thêm các bài viết khác tại:
- Quy định cần biết về Cổ phiếu Esop
- Chào bán cổ phiếu ra công chúng
- Nhà đầu tư chứng khoán chuyên nghiệp là gì?
- Nghiệp vụ kinh doanh chứng khoán
- Ưu nhược điểm của chào bán chứng khoán ra công chúng
- Tỷ lệ sở hữu nước ngoài của công ty đại chúng
- Sự khác biệt giữa Công ty đại chúng và CTCP khác?
- Chứng chỉ hành nghề chứng khoán
- Những điều cần biết khi đầu tư Trái phiếu doanh nghiệp
- Đấu giá IPO và quy trình tham gia đấu giá IPO
